Chapitre 28. Définition des autorisations de lecture seule pour le système de fichiers racine
Il est parfois nécessaire de monter le système de fichiers racine (/) avec des autorisations de lecture seule. Il s'agit par exemple de renforcer la sécurité ou de garantir l'intégrité des données après une mise hors tension inattendue du système.
28.1. Fichiers et répertoires qui conservent toujours les droits d'écriture
Pour que le système fonctionne correctement, certains fichiers et répertoires doivent conserver des droits d'écriture. Lorsque le système de fichiers racine est monté en mode lecture seule, ces fichiers sont montés en RAM à l'aide du système de fichiers temporaires tmpfs.
L'ensemble par défaut de ces fichiers et répertoires est lu à partir du fichier /etc/rwtab. Notez que le paquetage readonly-root est nécessaire pour que ce fichier soit présent dans votre système.
dirs /var/cache/man dirs /var/gdm <content truncated> empty /tmp empty /var/cache/foomatic <content truncated> files /etc/adjtime files /etc/ntp.conf <content truncated>
Les entrées du fichier /etc/rwtab suivent ce format :
copy-method path
Dans cette syntaxe :
- Remplacer copy-method par l'un des mots-clés spécifiant comment le fichier ou le répertoire est copié dans tmpfs.
- Remplacer path par le chemin d'accès au fichier ou au répertoire.
Le fichier /etc/rwtab reconnaît les façons suivantes de copier un fichier ou un répertoire sur tmpfs:
emptyUn chemin vide est copié sur
tmpfs. Par exemple :empty /tmp
dirsUne arborescence de répertoires est copiée sur
tmpfs, vide. Par exemple :dirs /var/run
filesUn fichier ou une arborescence de répertoires est copié intact sur
tmpfs. Par exemple, un fichier ou une arborescence est copié(e) sur intact(e) :files /etc/resolv.conf
Le même format s'applique lors de l'ajout de chemins d'accès personnalisés à /etc/rwtab.d/.
